Intégration avec Kaspersky Anti Targeted Attack Platform

L'application Kaspersky Endpoint Security est compatible avec la solution Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

L'application Kaspersky Endpoint Security peut être intégrée avec des modules suivants qui font partie de la solution Kaspersky Anti Targeted Attack Platform :

• Kaspersky Endpoint Detection and Response (KATA) assure la protection des appareils sur le réseau local d'une organisation. En interagissant avec Kaspersky Endpoint Detection and Response (KATA), l'application Kaspersky Endpoint Security peut exécuter les fonctions suivantes :
  • Envoyer des données sur les événements survenus sur les appareils (télémétrie) au serveur Kaspersky Anti Targeted Attack Platform avec le module Central Node (ci-après dénommé serveur KATA). Kaspersky Endpoint Security envoie au serveur KATA des données de surveillance sur les processus, les connexions réseau ouvertes et les fichiers modifiés, ainsi que des données sur les menaces détectées par l'application et des données sur les résultats du traitement de ces menaces.
  • Effectuez les actions de réponse visant à garantir les fonctions de sécurité sur la base des commandes reçues de Kaspersky Anti Targeted Attack Platform :
• Kaspersky Network Detection and Response (KATA) protège le réseau interne de l'entreprise et envoie des données sur les événements survenus sur les appareils (télémétrie) au serveur Kaspersky Anti Targeted Attack Platform avec le module Central Node (ci-après également appelé serveur NDR).
• KATA Sandbox analyse les objets pour identifier les activités malveillantes et les signes d'attaques ciblées sur l'infrastructure informatique d'une organisation sur des serveurs spéciaux avec des images virtuelles déployées des systèmes d'exploitation (ci-après également appelés serveur Sandbox).

L'intégration avec ces modules de la solution Kaspersky Endpoint Detection and Response (KATA) est assurée par les modules suivants de l'application Kaspersky Endpoint Security :

• Endpoint Detection and Response (KATA) (ci-après également EDR (KATA)) ;
• Network Detection and Response (KATA) (ci-après également NDR (KATA)) ;
• Sandbox.

Vous pouvez configurer l'intégration de l'application Kaspersky Endpoint Security avec tous les modules de la solution Kaspersky Anti Targeted Attack Platform ou avec chaque module séparément.

Pour intégrer les modules de Kaspersky Anti Targeted Attack Platform, vous devez activer la solution Kaspersky Anti Targeted Attack Platform (pour plus de détails, consultez l'aide de la solution). Il n'est pas nécessaire d'activer les modules de l'application Kaspersky Endpoint Security qui assurent l'intégration ; les licences de base de Kaspersky Endpoint Security incluent cette fonctionnalité.

L'intégration de l'application Kaspersky Endpoint Security avec Kaspersky Anti Targeted Attack Platform n'est possible que si le module Behaviour Analysis est activé. Dans le cas contraire, les données télémétriques nécessaires ne sont pas transmises (sauf pour les demandes de synchronisation).

De plus, le module Kaspersky Endpoint Detection and Response (KATA) peut utiliser les données reçues des modules suivants :

• Protection contre les fichiers malicieux.
• Protection contre les menaces réseau.
• Protection contre les menaces Internet.

De plus, le module Kaspersky Network Detection and Response (KATA) peut utiliser les données reçues des modules suivants :

• Protection contre les fichiers malicieux.
• Protection contre les menaces réseau.
• Protection contre les menaces Internet.
• Protection contre le chiffrement.
• Contrôle des applications.
• Contrôle des appareils.
• Contrôle de l'intégrité du système.

Lors de l'intégration avec la solution Kaspersky Anti Targeted Attack Platform, les appareils exécutant Kaspersky Endpoint Security établissent des connexions chiffrées avec le serveur KATA/NDR/Sandbox via le protocole HTTPS. Les certificats suivants émis par le serveur KATA/NDR/Sandbox sont utilisés pour sécuriser la connexion :

• Certificat du serveur KATA/NDR/Sandbox. La connexion est chiffrée à l'aide du certificat TLS du serveur. Vous pouvez augmenter le niveau de sécurité de la connexion en activant la vérification du certificat du serveur du côté de Kaspersky Endpoint Security. Pour ce faire, vous devez ajouter le certificat du serveur KATA/NDR/Sandbox avant d'activer l'intégration avec la solution Kaspersky Anti Targeted Attack Platform.
• Certificat client. Ce certificat est utilisé pour sécuriser davantage la connexion avec une vérification en deux étapes (c'est-à-dire, l'analyse des appareils avec l'application Kaspersky Endpoint Security par le serveur KATA/NDR/Sandbox). Le même certificat client peut être utilisé par plusieurs appareils. Par défaut, le serveur KATA/NDR/Sandbox n'effectue pas la validation du certificat client, mais la vérification en deux étapes peut être activée du côté de Kaspersky Anti Targeted Attack Platform. Dans ce cas, vous devez activer la vérification en deux étapes dans les paramètres d'intégration avec le module Kaspersky Endpoint Detection and Response (KATA), Kaspersky Network Detection and Response (KATA) et KATA Sandbox et ajouter un certificat client (cryptoconteneur avec le certificat et la clé privée).

Les certificats destinés à protéger la connexion au serveur KATA/NDR/Sandbox sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.

Un serveur proxy est utilisé pour se connecter au serveur KATA/NDR/Sandbox si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.

Par défaut, l'intégration avec les modules de la solution Kaspersky Anti Targeted Attack Platform est désactivée. Vous pouvez activer et désactiver l'intégration et configurer les paramètres d'intégration suivants à l'aide de la ligne de commande, de la Web Console et de la Console d'administration :

• Configurer les paramètres généraux de connexion aux serveurs KATA/NDR/Sandboх.
• Ajouter et supprimer des certificats de serveur KATA/NDR/Sandboх.
• Configurer la vérification en deux étapes lors de la connexion aux serveurs KATA/NDR/Sandboх et ajoutez des certificats clients.
• Configurer les paramètres d'envoi des événements.
• Activer ou désactiver l'envoi de télémétrie (uniquement en cas d'intégration avec Kaspersky Endpoint Detection and Response (KATA)).

  Si l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response est activée, les exclusions de processus ne sont pas appliquées lors de l'envoi de télémétrie.

L'administration des paramètres d'intégration avec Kaspersky Anti Targeted Attack Platform via Kaspersky Security Center Cloud Console n'est pas prise en charge.

Dans cette section Configuration d'EDR (KATA) / NDR (KATA) dans Web Console Configuration d'EDR (KATA) / NDR (KATA) dans la Сonsole d'administration Configuration d'EDR (KATA) / NDR (KATA) dans la ligne de commande Configuration de l'intégration avec KATA Sandbox dans Web Console Configuration de l'intégration avec KATA Sandbox dans ligne de commande

Haut de page